Ordinanza sul sistema di trattamento per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OST-SCPT)

La presente ordinanza disciplina il funzionamento e l’utilizzo del sistema di trattamento del Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (Servizio SCPT).

I fornitori di servizi di telecomunicazione (FST), ad eccezione di quelli con obblighi di sorveglianza ridotti, e i fornitori di servizi di comunicazione derivati con obblighi di informazione o di sorveglianza supplementari gestiscono, in collaborazione con il Servizio SCPT, una rete che consente di trasferire le informazioni e i dati delle sorveglianze al sistema di trattamento.

Attraverso questa rete è possibile scambiare anche le domande di informazioni e gli incarichi di sorveglianza, nonché informazioni sul loro svolgimento.

Il Dipartimento federale di giustizia e polizia emana prescrizioni tecniche e amministrative sulla rete di trasferimento dei dati.

Il sistema di trattamento contiene i seguenti dati:

1. le informazioni e i dati delle sorveglianze trasmessi dalle persone obbligate a collaborare;
2. i dati di cui alla lettera a, preparati per essere analizzati;
3. le domande di informazioni e gli ordini di sorveglianza delle autorità abilitate a disporre la sorveglianza;
4. le caratteristiche di trattamento aggiunte dalle autorità che analizzano i dati;
5. i dati per lo svolgimento e il controllo delle pratiche, inclusi i dati per il controllo della qualità, i dati relativi ai test, la statistica e la contabilità;
6. i dati per semplificare la rappresentazione e la cernita delle informazioni e dei dati di cui alle lettere a e b;
7. le chiavi crittografiche.

Il sistema di trattamento è in grado di trattare i seguenti dati:

1. ² i dati relativi a informazioni (cap. 3 sez. 1 e 4‑6 dell’ordinanza del 15 novembre 2017³ sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni [OSCPT]);
2. ⁴ i dati delle sorveglianze in tempo reale (cap. 3 sez. 1, 8, 9 e 11 OSCPT);
3. ⁵ i dati delle sorveglianze retroattive (cap. 3 sez. 1, 10 e 11 OSCPT);
4. i dati per lo svolgimento e il controllo delle pratiche del Servizio SCPT (art. 6).

I dati registrati nel sistema di trattamento provengono:

1. dalle autorità che dispongono la sorveglianza o dalle autorità da esse designate, dalle autorità d’approvazione e dalle altre autorità investite del procedimento;
2. dalle persone obbligate a collaborare;
3. dal Servizio SCPT;
4. dalle banche dati per la determinazione degli elementi d’indirizzo;
5. dai fornitori di geoinformazioni e materiale cartografico.

Le autorità possono completare i dati delle sorveglianze soltanto con le caratteristiche di trattamento secondo l ’ articolo 3 capoverso 1 lettera c e le chiavi crittografiche secondo la lettera g; non è consentito importare altri dati relativi alle indagini.

Per il trattamento delle informazioni e dei dati delle sorveglianze sono previste le seguenti funzioni:

1. ascoltare in diretta e ascoltare in differita;
2. visualizzare e stampare;
3. localizzare e rappresentare su carte geografiche;
4. decodificare e decriptare;
5. raggruppare;
6. cercare e fare una cernita;
7. associare una registrazione vocale a una voce presente nel sistema;
8. trascrivere;
9. commentare;
10. segnalare eventi particolari come avvicinamenti geografici o processi di comunicazione;
11. trasmettere in modo sicuro alle persone autorizzate;
12. distruggere.

Le funzioni si applicano soltanto ai dati a cui la persona che le esegue ha accesso.

Per lo svolgimento e il controllo delle pratiche il Servizio SCPT tratta i seguenti dati:

1. i dati di contatto dell’autorità che dispone la sorveglianza e delle autorità da essa designate, delle autorità d’approvazione e delle altre autorità investite del procedimento nonché delle persone da esse designate;
2. se noti, cognome, nome, data di nascita, indirizzo e professione delle persone da sorvegliare e dei relativi rappresentanti legali;
3. il motivo delle informazioni e delle sorveglianze, in particolare l’indicazione degli articoli dei reati sulla cui commissione si mira a far luce;
4. i tipi di d’informazione e di sorveglianza ordinati;
5. le comunicazioni scritte e orali nonché le telefonate registrate secondo l’articolo 8 OSCPT⁶;
6. le decisioni delle autorità, quali ordini, approvazioni e proroghe, le decisioni in materia di sanzioni penali e amministrative nonché le decisioni su ricorso;
7. i dati di cui agli articoli 15 lettere h–k e 49 capoverso 1 lettere h–l e 2 OSCPT;
8. i numeri di riferimento e le denominazioni delle informazioni e delle sorveglianze;
9. i dati di contatto delle persone obbligate a collaborare e degli interlocutori da esse designati;
10. i dati relativi alle persone obbligate a collaborare, in particolare riguardo alla loro disponibilità a informare e sorvegliare;
11. gli elementi d’indirizzo e gli identificativi disponibili;
12. altri dati di natura tecnica;
13. i dati per la riscossione degli emolumenti e il versamento delle indennità.

Su richiesta mediante l’apposito modulo, il Servizio SCPT crea conti utente personali per l’accesso al sistema di trattamento dei seguenti gruppi di persone, per quanto tali accessi siano necessari all’adempimento dei loro compiti:

1. collaboratori delle autorità;
2. collaboratori delle persone obbligate a collaborare;
3. collaboratori del Servizio SCPT;
4. persone a cui il Servizio SCPT ha assegnato compiti di manutenzione, gestione e programmazione.

Su ordine della persona competente, il Servizio SCPT può autorizzare singoli collaboratori delle autorità di cui all’articolo 9 capoversi 1–3 LSCPT ad assegnare accessi, per quanto ciò sia necessario all’adempimento dei loro compiti. I collaboratori continuano a essere responsabili per l’utilizzo degli accessi assegnati e documentano l’assegnazione in modo tracciabile.

Il Servizio SCPT verifica periodicamente se sussistono sempre le condizioni per i diritti di accesso.

I diritti di accesso al sistema di trattamento sono disciplinati nell’allegato. Il Servizio SCPT precisa tali diritti in un regolamento per il trattamento dei dati (art. 6 dell’ordinanza del 31 agosto 2022 ⁷ sulla protezione dei dati). ⁸

L’ordine di sorveglianza indica al Servizio SCPT quali collaboratori delle autorità di cui all’articolo 9 capoversi 1–3 LSCPT hanno accesso ai dati di quali sorveglianze. Dopo l’autenticazione, i collaboratori ottengono l’accesso, mediante procedura di richiamo, ai dati delle sorveglianze previsti nell’ordine.

Le persone interessate secondo l’articolo 279 del Codice di procedura penale ⁹ o l’articolo 70 j della procedura penale militare del 23 marzo 1979 ^{10 ,} l’articolo 33 della legge federale del 25 settembre 2015 ¹¹ sulle attività informative, gli articoli 35 e 36 LSCPT e la legge federale del 25 settembre 2020 ¹² sulla protezione dei dati, nonché i relativi rappresentanti legali possono trasmettere una domanda di accesso ai dati delle sorveglianze all’autorità competente secondo l’articolo 10 capoversi 1–3 LSCPT. ¹³ Per il tramite delle autorità competenti e in virtù delle disposizioni applicabili a tali autorità, dette persone ottengono accesso ai dati di cui hanno bisogno per esercitare il loro diritto di consultare gli atti o di accedere ai dati.

Il Servizio SCPT autorizza singoli collaboratori secondo l’articolo 7 capoverso 2 ad assegnare accessi all’interno della loro autorità, ad autorità d’approvazione e a persone autorizzate secondo il capoverso 2, per quanto tale accesso sia necessario all’adempimento dei loro compiti o all’esercizio dei diritti di terzi. ¹⁴

Previo consenso scritto dell’autorità incaricata del procedimento, il Servizio SCPT può permettere ai suoi collaboratori e ad altri ausiliari di conoscere il contenuto dei dati delle sorveglianze, se ciò è necessario per fornire consulenza all’autorità interessata o alla persona interessata obbligata a collaborare, ai fini del controllo della qualità o per assicurare il funzionamento regolamentare del sistema di trattamento. ¹⁵

Il consenso non è necessario:

1. per assicurare il funzionamento regolamentare del sistema di trattamento:1.in caso di gravi guasti o rischio di gravi guasti, o2.se è impossibile o sproporzionato individuare la sorveglianza interessata o contattare l’autorità competente per detta sorveglianza; oppure
2. se è sproporzionato contattare tutte le autorità competenti visto il gran numero di sorveglianze interessate.¹⁶

Il Servizio SCPT adotta adeguati provvedimenti contrattuali, organizzativi e tecnici per impedire l’ulteriore diffusione dei dati. ¹⁷

Il sistema di trattamento dispone di interfacce:

1. per la trasmissione dei mandati e la ricezione dei dati e delle conferme, direttamente o attraverso la rete di trasferimento, ai sistemi delle persone obbligate a collaborare;
2. per la copia di dati ai sensi dell’articolo 14 capoverso 1 LSCPT nella rete di sistemi d’informazione di polizia dell’Ufficio federale di polizia e ai sensi dell’articolo 14a LSCPT nel sistema d’informazione del Servizio delle attività informative della Confederazione (SIC);
3. per l’accesso a banche dati ai fini dell’accertamento di elementi d’indirizzo.

Attraverso misure tecniche e organizzative, il Servizio SCPT garantisce in particolare:

1. la protezione dagli accessi e dalle modifiche: attraverso l’autenticazione sicura delle persone e dei servizi autorizzati nonché la descrizione dettagliata dei rispettivi diritti di lettura e scrittura;
2. il controllo del trasporto: attraverso la trasmissione sicura dei dati del sistema di trattamento;
3. il controllo degli accessi e delle modifiche: attraverso la verbalizzazione di tutti gli accessi e di tutte le modifiche ai dati nonché l’analisi periodica a campione per individuare eventuali irregolarità.

Stabilisce le misure da adottare sulla base di un’analisi dei rischi conforme allo stato della tecnica e alle norme internazionali pertinenti.

Emana le necessarie istruzioni per l ’attuazione di tali misure all’ indirizzo degli utenti del sistema.

Conserva i verbali per tutta la durata di conservazione che si applica ai dati ottenuti dalle sorveglianze e dalle informazioni. I verbali della distruzione dei dati devono essere conservati per altri due anni. ¹⁸

Il Servizio SCPT decide le misure da adottare in caso di guasti o rischio di guasti nel funzionamento regolamentare del sistema di trattamento. Se può attribuire il guasto a uno o più procedimenti, consulta previamente, se possibile, l’autorità incaricata del procedimento.

I dati necessari a fini statistici devono essere anonimizzati prima della pubblicazione.

I dati delle sorveglianze restano a disposizione delle autorità mediante procedura di richiamo, con tutte le funzioni per il trattamento ai sensi dell’articolo 5, al massimo fino:

1. al passaggio in giudicato della decisione che conclude il procedimento penale in questione;
2. sei mesi dopo la fine dell’operazione del SIC;
3. per sei mesi dopo la fine della ricerca d’emergenza;
4. per sei mesi dopo la fine della ricerca di condannati;
5. ²⁰ a 100 giorni dalla fine della localizzazione di un potenziale terrorista tramite telefonia mobile secondo l’articolo 23q capoverso 3 della legge federale del 21 marzo 1997²¹ sulle misure per la salvaguardia della sicurezza interna; se conformemente all’articolo 11 capoverso 4^ter LSCPT sussiste un motivo concreto per ritenere che tali dati possano servire in un procedimento penale, si applica la lettera a; o
6. all’invio dei supporti di dati o dei documenti all’autorità affinché li trasmetta a un’autorità estera nell’ambito di una procedura di assistenza giudiziaria internazionale.

Successivamente i dati vengono conservati nel sistema di trattamento per un periodo prolungato, con funzioni per il trattamento ridotte, sino alla fine del termine di conservazione di cui all’articolo 11 LSCPT. L’autorità competente può ordinare che i dati siano già precedentemente conservati in questo modo.

In caso di modifiche tecniche sostanziali al sistema di trattamento, i dati restano ancora a disposizione delle autorità per un periodo di sei–12 mesi con tutte le funzioni per il trattamento.

Prima della scadenza del termine di conservazione di cui all’articolo 11 LSCPT, l’ultima autorità investita del procedimento dà istruzione al Servizio SCPT di:

1. distruggere i dati; o
2. mettere i dati a disposizione di un’autorità da essa designata e distruggerli nel sistema dopo aver ricevuto la conferma di ricezione.

Se, alla scadenza del termine di conservazione, non è possibile risalire all’autorità competente o se questa, benché sollecitata, non fornisce istruzioni, il Servizio SCPT crea un supporto di dati. Consegna il supporto alla massima autorità giudiziaria cantonale o al Tribunale penale federale. Dopo aver ricevuto conferma della ricezione e della leggibilità dei dati, distrugge i dati nel sistema. Verbalizza l’operazione.

I dati relativi a informazioni sono memorizzati per 12 mesi, poi sono conservati per la durata del termine di cui all’articolo 11 LSCPT con funzioni di trattamento ridotte e quindi distrutti. ²²

I dati della Confederazione con valore archivistico destinati alla distruzione sono offerti all’Archivio federale svizzero per archiviazione. I dati senza valore archivistico sono distrutti.

Se previsto dal diritto cantonale, i dati dei Cantoni destinati alla distruzione sono offerti all’autorità cantonale competente. Conformemente all’articolo 4 capoverso 2 della legge federale del 26 giugno 1998 ²³ sull’archiviazione, l’archiviazione dei dati dei Cantoni è di competenza dei Cantoni medesimi.

Fino alla messa in esercizio dei nuovi componenti del sistema, il Servizio SCPT può procedere alle verbalizzazioni secondo il diritto anteriore.

Fintantoché i dati non sono conservati a lungo termine in modo centralizzato, la conservazione avviene secondo la prassi vigente. Nel momento in cui secondo l’articolo 13 non sono più disponibili tutte le funzioni per il trattamento, le autorità ricevono i dati delle sorveglianze su un supporto di dati o possono scaricarli nel loro sistema.

La presente ordinanza entra in vigore il 1° marzo 2018.